O objetivo desta primeira fase é permitir identificar o contexto de um processo de tratamento de dados por forma a poder classificar o mesmo em relação à sua criticidade de acordo com um conjunto de parâmetros recolhidos.
Como tal, esta fase passa por documentar os detalhes de um processo, definir o seu propósito e finalidades, identificar as categorias de dados pessoais tratados, os tipos de tratamentos efetuados, os responsáveis pelo processo e tratamento dos dados, a forma de recolha dos dados, que tipos de aplicações são usadas para os tratamentos e o fluxo dos dados pessoais ao longo do processo. No preenchimento dos tipos de tratamentos de
dados pessoais que são realizados no processo deve-se levar em conta se é efetuado algum dos tratamentos identificados como possíveis de resultar num risco elevado de acordo com o capítulo 2.6.1 deste documento.
Com base na recolha dos dados descritos acima, será possível validar se o processo deve estar sujeito a um DPIA ou não, por forma a garantir conformidade com o Artigo 35. Este cálculo deve ser feito com base nas categorias de dados pessoais tratados, tipos de tratamentos efetuados, tipos de aplicações usadas para o processamento e se são ou não realizadas transferências de dados pessoais. Pode-se observar mais em detalhe como é feita esta ponderação no capítulo 4.2.
Consoante o nível de detalhe a que a organização pretende ir, e as suas necessidades, pode ser recolhida ainda mais informação que a organização ache relevante. No âmbito deste trabalho, estes dados são suficientes para completar esta fase, sendo alguma informação mais específica recolhida na próxima fase.
Organizações com maior maturidade têm o hábito de ter os seus processos identificados e documentados, no entanto se esse não for o caso, deve-se proceder ao levantamento dos dados necessários juntamente do dono do processo. Um exemplo de uma ficha de levantamento de informação de um processo de tratamento de dados pessoais pode ser encontrado no Anexo A. O preenchimento dessa ficha irá também contribuir para o registo das atividades de tratamento requerido pelo Artigo 30 descrito no capítulo 2.5.1.6, e assim garantir conformidade com o mesmo.
3.3.1.1 Criticidade dos ativos
Na identificação do processo é importante a definição da criticidade de ativos para posteriormente se poder estimar o nível de risco a que um processo pode estar sujeito levando em conta os seus ativos. No contexto deste trabalho irá trabalhar-se com dois tipos de ativos, dados pessoais e aplicações. Para classificar a sua criticidade definiu-se uma escala que leva em conta o impacto que a sua má utilização ou comprometimento pode causar aos titulares dos dados. Devido à importância e relevância que o regulamento procura atribuir aos dados pessoais, optou-se por se classificar os mesmos numa escala contemplando apenas os níveis de criticidade média, alta e elevada.
Tabela 3 - Critérios de criticidade dos dados pessoais
Criticidade Racional Média
Dados pessoais identificativos, muitas vezes publicados por livre vontade dos titulares, e que numa situação normal, sem a presença de dados sensíveis, o seu comprometimento por si só não deve causar um grande impacto.
Alta
Dados pessoais que podem permitir chegar fisicamente perto do titular, identificar hábitos ou padrões dos mesmos, ou efetuar transações e/ou danos financeiros em nome dos/aos titulares.
Elevada
Dados pessoais classificados como sensíveis pelo próprio regulamento por poderem conter informação que pode colocar a integridade física e/ou moral do titular em causa.
No contexto deste trabalho assume-se que a criticidade e impacto do comprometimento dos dados pessoais dos titulares podem variar conforme o contexto do processamento e a situação dos titulares. Como tal esta escala será usada como base, mas pode ser adaptada para cada processo caso surja a necessidade.
A criticidade das aplicações utilizadas nos processos deve levar em conta o tipo de tratamentos que a aplicação realiza e/ou a sua exposição e maturidade, de acordo com os tratamentos que possam resultar num risco elevado identificados na tabela 1 – Tratamentos sujeitos a risco.
Na tabela seguinte está um exemplo de classificação de criticidade que procura abranger as categorias de dados pessoais mais comuns. As categorias de dados descritas foram identificadas e classificadas seguindo as linhas orientadoras de um documento da ENISA de recomendações de uma metodologia para a avaliação do impacto dos dados pessoais em fugas de informação (ENISA, 2013).
Tabela 4 - Categorias de dados pessoais identificados e respetivas criticidades
Ativo Tipo Racional Criticidade
Dados identificativos
Dado pessoal
Dados pessoais que permitem identificar o titular e que não permitem identificar padrões comportamentais, nem a sua localização ou causar danos financeiros.
Média Dados demográficos Experiência profissional Características físicas Perfilagem e dados comportamentais Dado pessoal
Dados que permitem identificar padrões comportamentais, a localização e paradeiro atual e/ou causar danos ou
fraude financeira aos titulares. Alta Dados de contas, transações ou
créditos Propriedades
Outros dados financeiros / preferências / localização Origem racial ou étnica
Dado pessoal sensível
Dados pessoais sensíveis, de acordo com o regulamento, que podem mais
severamente condicionar as liberdades e direitos do titular e resultar num risco elevado para o mesmo.
Elevada Opiniões políticas Convicções religiosas ou filosóficas Filiação sindical Dados genéticos Dados biométricos Dados relativos à saúde Dados relativos à vida sexual ou orientação sexual
Dados da vida privada
Na próxima tabela, são apresentados os tipos de aplicações identificados como sendo possíveis de ser usados para o tratamento de dados pessoais que se encontram nas organizações. A lista de aplicações apresentada foi desenvolvida com base nos tratamentos de dados potencialmente sujeitos a risco descritos no capítulo 2.5.1, procurando perceber que tipos de aplicações é que poderiam realizar estes tratamentos, e complementando também com alguma experiência relacionada com o assunto obtida noutros projetos.
Tabela 5 - Tipos de aplicações identificadas e respetivas criticidades
Ativo Tipo Racional Criticidade
Aplicação que combina dados de várias fontes
Aplicação
Aplicação que combina dados de titulares provenientes de 2 ou mais fontes de dados.
Alta
Aplicação exposta na web
Aplicação que está exposta na web e mais facilmente é acedida por agentes
maliciosos.
Alta
Nova aplicação no mercado (menos de 1 ano)
Nova aplicação no mercado de baixa maturidade, possivelmente com mais bugs e/ou vulnerabilidades.
Alta
Nova aplicação na organização (menos de 2 meses)
Nova aplicação na organização, tendo a mesma uma baixa maturidade na utilização e/ou configuração da tecnologia.
Alta
Aplicação na cloud
Aplicação na cloud, ou SaaS (Software as a Service). Apesar dos dados se
encontrarem for a da organização este tipo de aplicações já costuma ter alguma maturidade, dependendo também dos fornecedores.
Média
Outros tipos de aplicação para processamento de dados
Aplicações simplesmente utilizadas no
processamento de dados. Baixa